你有沒有為混合型的流氓軟件湧現做好準備？

物聯網僵屍網絡要是參與加密數字貨幣的挖礦會怎樣
？

物聯網研究機構 IoT Institute 采訪了多位物聯網安全專家，發現明年行業內可能出現的相關趨勢。

在下文中，IoT Institute 探討了這些趨勢
，同時，考慮到人工智能

、量子計算
、安全和網絡自動化工具等相關技術飛速發展，明年還可能有什麼新現象。

1 物聯網勒索軟件和“綜合性流氓軟件”越來越普遍

今年

，惡意勒索軟件還在繼續“擴大聲勢”。 李li嵩song是shi物wu聯lian網wang安an全quan領ling域yu初chu創chuang公gong司si青qing天tian科ke技ji的de聯lian合he創chuang始shi人ren兼jian首shou席xi技ji術shu官guan。他ta預yu計ji，雖sui然ran大da多duo數shu傳chuan統tong勒le索suo軟ruan件jian還hai在zai使shi用yong加jia密mi技ji術shu將jiang用yong戶hu困kun在zai計ji算suan平ping台tai之zhi外wai，但dan一yi些xie黑hei客ke可ke能neng會hui開kai始shi發fa動dong多duo種zhong多duo樣yang的de勒le索suo軟ruan件jian攻gong擊ji。李li嵩song說shuo道dao：“基於物聯網的勒索軟件攻擊可能集中在竊取數據上，或者是讓目標設備無法發揮應有的功能。”

網絡攝像機（IP camera）可以從大量地點、多個位置四處搜尋（比如工廠內部、私人房屋住宅等），捕捉一些用戶敏感的視頻片段。 李嵩表示：

“黑客可能會說：‘除非你給我比特幣，否則我會到處散布這段視頻。’”

還有一種可能是，黑客利用網絡攝像頭這樣的物聯網設備，將流量導入一個攜帶流氓軟件的網址。Ofer Amitai 是軟件解決方案供應商 Portnox 的聯合創始人兼首席執行官，他指出：“那樣一來，那種網址可以從訪問的端點提取數據，命令軟件勒索用戶，讓用戶贖回加密後的數據。”

黑(hei)客(ke)還(hai)有(you)可(ke)能(neng)威(wei)脅(xie)物(wu)聯(lian)網(wang)廠(chang)商(shang)，如(ru)果(guo)不(bu)支(zhi)付(fu)贖(shu)金(jin)，就(jiu)讓(rang)物(wu)聯(lian)網(wang)的(de)設(she)備(bei)失(shi)靈(ling)
，包(bao)括(kuo)一(yi)些(xie)智(zhi)能(neng)門(men)鎖(suo)或(huo)者(zhe)市(shi)內(nei)溫(wen)控(kong)器(qi)。當(dang)然(ran)
，我(wo)們(men)根(gen)本(ben)無(wu)法(fa)保(bao)證(zheng)黑(hei)客(ke)在(zai)自(zi)己(ji)的(de)條(tiao)件(jian)得(de)到(dao)滿(man)足(zu)後(hou)說(shuo)話(hua)算(suan)話(hua)，放(fang)過(guo)受(shou)害(hai)用(yong)戶(hu)。Ofer Amitai 繼續說道：

“我們預計
，黑客會用一種勒索軟件攻擊個人電腦，讓用戶無法操縱自己的電腦
，最後還會找回來，說‘我們想要更多數字貨幣。’”

未來一年
，我們可能目睹一係列進一步融合多種攻擊的流氓軟件，將 DDoS（分布式拒絕服務）攻擊、勒索軟件和其他攻擊類型集於一身。Peter Tran 是加密技術公司 RSA 的高級網絡防禦部門總經理兼高級總監，他表示：“我更願意把它們稱作為‘綜合性流氓軟件’
，現在這種軟件增長速度很快。由於物聯網設備激增，我們將無法預測花樣繁多的各式攻擊組合。”

2 物聯網僵屍網絡將目標瞄準加密數字貨幣

最zui近jin


，加jia密mi數shu字zi貨huo幣bi的de市shi值zhi不bu斷duan飆biao升sheng，隨sui之zhi而er來lai的de就jiu是shi加jia密mi數shu字zi貨huo幣bi挖wa礦kuang業ye的de激ji烈lie競jing爭zheng。因yin此ci，黑hei客ke企qi圖tu利li用yong這zhe股gu加jia密mi數shu字zi貨huo幣bi的de狂kuang熱re撈lao金jin趨qu勢shi，也ye再zai自zi然ran不bu過guo了le。Amitai 這樣預測表示道：

“很多人相信區塊鏈是不會被黑客攻破的。但我們已經發現，基於區塊鏈技術的應用遭到的攻擊數量越來越多。”這其中最脆弱的環節倒不是區塊鏈本身，而是依托這種技術運行的應用。“（黑客）將更頻繁地動用社交工程獲取密碼和私人密鑰，從而攻入這些應用。”

Ankit Anubhav 是青天科技的首席安全研究員
，他提到，僅在開源加密數字貨幣 Monero上

，就已經發現物聯網僵屍網絡的挖礦劇增
，導致黑客甚至還會利用視頻攝像頭進行比特幣挖礦。

Tran說道：

“和傳統的貨幣價值和波動結構一樣，（這麼做的）風險是通過物聯網僵屍網絡礦工讓公開市場充斥（數字貨幣），破壞區塊鏈和數據完整，操縱或是直接搶劫大批加密數字貨幣。”

3 當我們迎來了量子計算時代

，軟件供應商也需要更加重視安全問題

今年全球軟件企業的量子計算競賽更趨白熱化。短短幾個月內，英特爾公司就造出了包含 17 個量子位的全新芯片

，而且已經交付測試；微軟公司也詳細展示了用於開發量子程序的新型編程語言；IBM 公司則發布了50個量子位的量子電腦原型。Louis Parks是物聯網安全軟件公司 SecureRF 的(de)首(shou)席(xi)執(zhi)行(xing)官(guan)，他(ta)認(ren)為(wei)，在(zai)這(zhe)些(xie)科(ke)技(ji)進(jin)步(bu)影(ying)響(xiang)下(xia)，量(liang)子(zi)計(ji)算(suan)可(ke)能(neng)會(hui)在(zai)十(shi)年(nian)內(nei)實(shi)現(xian)商(shang)業(ye)化(hua)，化(hua)解(jie)量(liang)子(zi)計(ji)算(suan)可(ke)能(neng)存(cun)在(zai)的(de)安(an)全(quan)威(wei)脅(xie)顯(xian)得(de)更(geng)為(wei)緊(jin)迫(po)。

盡管專家們對現實世界的量子計算看法不一，對它的興趣仍有增無減。正如美國國家安全局（NSA）所suo說shuo，基ji於yu量liang子zi計ji算suan的de網wang絡luo攻gong擊ji將jiang淘tao汰tai過guo去qu普pu遍bian的de公gong開kai密mi鑰yao加jia密mi，可ke能neng令ling無wu數shu物wu聯lian網wang產chan品pin麵mian對dui攻gong擊ji不bu堪kan一yi擊ji。李li嵩song表biao示shi，麵mian對dui量liang子zi計ji算suan，現xian代dai電dian腦nao可ke能neng變bian成cheng西xi方fang科ke幻huan小xiao說shuo《銀河係漫遊指南》（The Hitchhiker's Guide to the Galaxy）裏的那種“袖珍計算器”。

“duiyibandediannaolaishuo


，jiemikenengjiuxiangbuduanhuanyaochichangshidakaiyibasuo，zhidaoshichuduidenabayaoshiweizhi。eryibuliangzidiannaohuitongshishiyongduobayaochikaiyibasuo
，yicixingzhaochunayibacaishinengdakaisuodeyaochi。”

“我們認為，2018年會是一個重大的轉折點

，包括醫學
、汽車、數據分析和航天在內，遍布多個行業的工程師將史上首次麵對量子電腦帶來的挑戰
，”Parks說，“如果未來十年或者更久以後希望立足量子計算領域

，那些半導體生產商
、物聯網平台供應商
，以及製造產品的電子產品廠商將在2018niandongde，tamenbixukongzhiliangzijisuanchanshengdeanquanweixie。tamenjiangyouxianchulimianxiangweilaidechanpin
，yinweiliangzijisuangemingjijiangdaolai，tamenyaoweixiangguandeanquantiaozhanweiyuchoumou。”

李嵩同意量子計算將改變物聯網安全領域格局的看法。他表示：“那就是說，量子計算還有很長一段路要走。”當前的加密機製可能在一段時間內仍有效，而即便一部量子電腦能破解數學家開發的加密程序算法，可能也要花幾年時間。

用量子電腦武裝的黑客增加可能是即將出現的另一個趨勢。不過李嵩認為：“量子計算不僅會用於攻擊，也會用於防禦。”

4 很多物聯網攻擊將無法探測，不為人知

去年，最臭名昭著的物聯網流氓軟件來自於僵屍網絡 Mirai，它造成全球多家大型網站癱瘓。而在今年
，最令人難忘的一個物聯網僵屍網絡可能是 Reaper
，它又稱 IoTroop。如果你和不同的人提起它
，可能反應全然不同，有人認為它比 Mirai 危險得多，有人卻覺得它的威脅比 Mirai 小得多。時間會證明
，Reaper究竟是不是極大的威脅，而明年物聯網安全的一些重大威脅可能是一些規模很小的網絡攻擊
，它們會小得讓人難以檢測察覺。Tran說：

“我會稱之為‘微型入侵’，我們會看到越來越多這類入侵，它攻擊（物聯網的）ruodian
，queguimojiaoxiao，nengtaoguomuqiananquanjiankonghejiancejishudefawang。henduoanquangongjuzaiwangluolifangfandeshiyiduduhongxiangaoqiang，kehenduowulianwangderuodianjiurutongyibenzongzhanglicaihuijisuanshisishewurudexiaocuowu。congguimoshangkan，tamenbuhuiyinqirenmenzhuyi
，dantamenkenengfeichangweixian。tamenkenengshunyinghuanjingerbian，zhongxinzuhe，zichengguimo，gongjisuduyuanchaojiyuwangluoqie‘聲勢浩大’的傳統攻擊。”

李嵩也這麼認為。他預計
，逃過監測的小型物聯網攻擊會增多。他指出：

“如果黑客的目標是汽車
，不是計算平台

，可能就像在油箱上戳了一個小洞。汽車會漏一小部分油，還算能正常行駛。不利之處在於：你（黑客）仍然在毒害整個環境。”

5 自動化將會登上舞台中央

dangqiyewulianwangdeguimomingxiankuoda
，fugaidaolechengqianshangwantaishebeizhezhongjibie，kenengjiunanyizuohaowangluoheshoujishujudeguanligongzuo。zidonghuaherengongzhinenggongjukeyituixingguize，jiancebuguilvdeliuliangmoshi
，youcikenengbangzhuwangluoguanlizhehewangluoanquanrenyuanchulihunluandejumian。Amitai 預計：

“到 2018 年(nian)，自(zi)動(dong)化(hua)可(ke)能(neng)占(zhan)據(ju)核(he)心(xin)地(di)位(wei)，成(cheng)為(wei)首(shou)屈(qu)一(yi)指(zhi)的(de)安(an)全(quan)潮(chao)流(liu)。總(zong)體(ti)而(er)言(yan)這(zhe)是(shi)好(hao)消(xiao)息(xi)
，因(yin)為(wei)它(ta)能(neng)保(bao)證(zheng)更(geng)多(duo)操(cao)作(zuo)者(zhe)有(you)足(zu)夠(gou)安(an)全(quan)的(de)處(chu)理(li)方(fang)式(shi)
，對(dui)物(wu)聯(lian)網(wang)這(zhe)類(lei)固(gu)件(jian)升(sheng)級(ji)存(cun)在(zai)困(kun)難(nan)的(de)模(mo)塊(kuai)設(she)備(bei)很(hen)有(you)意(yi)義(yi)。”

Tran 認為，這種自動化得到大範圍應用的行業前景

，其實蘊藏著不少風險。即使麵對數以百萬計的交通、電力、醫yi療liao保bao健jian等deng龐pang大da的de基ji礎chu設she施shi
，物wu聯lian網wang領ling域yu的de人ren工gong智zhi能neng和he基ji於yu機ji器qi學xue習xi的de自zi動dong化hua也ye可ke能neng讓rang自zi動dong化hua係xi統tong自zi動dong做zuo有you關guan它ta們men功gong能neng的de決jue定ding。而er且qie
，支zhi持chi這zhe些xie係xi統tong的de電dian腦nao程cheng序xu算suan法fa可ke能neng還hai會hui存cun在zai偏pian見jian。

6 黑客將會定位到更多類型的互聯設備

雷鋒網了解到，去年
，大量不安全的 IP 攝像頭為 Mirai 僵屍網絡提供了可乘之機
，事實上，這是自有黑客曆史記錄以來規模最大的一次襲擊。不過
，在即將到來的 2018 年，IP 攝像頭將會繼續成為一個重大威脅，因為很多攝像頭的密碼要麼是默認的，要麼幹脆就沒有設置

，而且不少黑客還通過IP攝像頭為僵屍網絡竊取到帶寬和算力。

李嵩說道：

“黑客會不斷尋求各種方法、利用更多類型的設備來構建僵屍網絡。比如，他們可能會利用一些沒有密碼
、或是有弱密碼的網絡打印機，而在中國
，黑客也正在攻擊智能門鎖設備。”

7 傳感器攻擊將會變得無處不在

shijishang
，wulianwangsuanshichuanganqiwangluodeyigeyanshengchanpin
，yincihulianwangchuanganqibenshenjiucunzaiqianzaianquanloudong
，sihuyeshihehuluojide。heikekenenghuichangshixiangchuanganqifasongyixierenleiwufaganzhidenengliang，laiduichuanganqishebeijinxinggongji。jugelizi，heikenenggoujiangjiyuchaoshengbodexinhaofasongdaoyuyinkongzhixitong
，huozhejianghongwaixinhaofasongdaoshexiangtoushang。

8 隱私將會變成物聯網對話的重要組成部分

如今，企業會越來越多地安裝物聯網設備，比如互聯恒溫器和 HVAC 係統、在會議室中配置智能電視
，互聯打印機、以(yi)及(ji)智(zhi)能(neng)照(zhao)明(ming)電(dian)燈(deng)，等(deng)等(deng)。與(yu)此(ci)同(tong)時(shi)

，工(gong)業(ye)物(wu)聯(lian)網(wang)也(ye)在(zai)不(bu)斷(duan)發(fa)展(zhan)，消(xiao)費(fei)者(zhe)也(ye)對(dui)諸(zhu)如(ru)智(zhi)能(neng)揚(yang)聲(sheng)器(qi)這(zhe)樣(yang)的(de)互(hu)聯(lian)設(she)備(bei)產(chan)生(sheng)了(le)濃(nong)厚(hou)的(de)興(xing)趣(qu)。雖(sui)然(ran)目(mu)前(qian)物(wu)聯(lian)網(wang)設(she)備(bei)的(de)互(hu)聯(lian)性(xing)有(you)所(suo)提(ti)高(gao)
，但(dan)是(shi)在(zai)這(zhe)種(zhong)“超連接（hyper-connected）”環境下產生的隱私分歧等問題暫時還是無法確定。Don DeLoach是《物聯網的未來：利用數字化中心世界的轉型》（The Future of IoT: Leveraging the Shift to a Data Centric World）一書作者，他表示：“隱私將會變成房間裏的大象。”

另一方麵，大公司對敏感數據的追蹤已經引發了公眾對他們的不信任，DeLoach 繼續說道：

“最近在美國的不少知名社交媒體網站上，人們對這些問題都進行了激烈討論。不過
，真正對這件事情重視起來的，還是歐盟——他們將會在明年五月正式生效《通用數據保護法規》。從本質上來說，這是為了保護所有個人信息，違反通用數據保護法規的企業
，可能會麵臨高達企業年收入4%的罰款。”

《通用數據保護法規》已經引起了美國、以及其他在歐洲開展業務的跨國企業關注。DeLoach解釋說：

“不僅如此，絕大多數企業認為，歐盟推出的《通用數據保護法規》很可能會成為一個行業信號
，未來包括北美在內的其他地區也會相繼推出類似的法案。”

另一個引發業內關注的，是 2017 年美國三大征信機構之一的 Equifax 公司的數據泄露事件。這次事件波及到了全球 1.455 億人
，很多身份信息（比如姓名、地址、社保號碼）都被泄露了。不過DeLoach表示，未來與隱私有關的討論主題可能會集中在其他類型的信息上，包括 IP 地址、地理位置

、網頁瀏覽記錄、電話記錄、客戶忠誠度積分等等。他補充說：

“物wu聯lian網wang數shu據ju可ke能neng會hui被bei很hen多duo匿ni名ming信xin息xi所suo充chong斥chi。這zhe可ke能neng需xu要yao更geng長chang一yi段duan時shi間jian才cai能neng引yin起qi人ren們men重zhong視shi。不bu幸xing的de是shi
，對dui於yu歐ou盟meng和he涉she案an企qi業ye而er言yan
，他ta們men的de時shi間jian真zhen的de不bu多duo了le。就jiu像xiang金jin融rong服fu務wu行xing業ye早zao期qi的de巴ba塞sai爾er協xie議yi和he DiFID 等監管要求，《通用數據保護法規》其實是給我們敲響了警鍾，呼籲各方盡早展開對物聯網隱私問題的討論。”

Tran 也表示

，如果 Equifax 公司違規數據泄露事件算是足夠嚴重的話
，那麼未來物聯網潛在的數據泄露問題可能會更加複雜、也更加嚴重，因為相比於傳統個人征信數據，物聯網涉及到個人身份信息的數量是它的好幾倍。Tran最後說道：

“在2018年(nian)，我(wo)預(yu)計(ji)有(you)越(yue)來(lai)越(yue)多(duo)的(de)企(qi)業(ye)會(hui)使(shi)用(yong)區(qu)塊(kuai)鏈(lian)和(he)數(shu)據(ju)標(biao)記(ji)等(deng)技(ji)術(shu)來(lai)升(sheng)級(ji)目(mu)前(qian)的(de)個(ge)人(ren)身(shen)份(fen)信(xin)息(xi)數(shu)據(ju)結(jie)構(gou)。請(qing)記(ji)住(zhu)
，黑(hei)客(ke)在(zai)尋(xun)找(zhao)攻(gong)擊(ji)目(mu)標(biao)的(de)時(shi)候(hou)
，往(wang)往(wang)會(hui)非(fei)常(chang)有(you)針(zhen)對(dui)性(xing)，比(bi)如(ru)他(ta)們(men)會(hui)關(guan)注(zhu)數(shu)據(ju)價(jia)值(zhi)和(he)數(shu)據(ju)質(zhi)量(liang)，還(hai)有(you)數(shu)據(ju)數(shu)量(liang)和(he)易(yi)訪(fang)問(wen)程(cheng)度(du)等(deng)等(deng)。所(suo)以(yi)，企(qi)業(ye)可(ke)以(yi)‘拿掉’一個
、或多個關鍵數據屬性

，這樣的話，這些數據信息對網絡犯罪分子的價值可能就沒有那麼高了。”